О защите компьютерной информации

В предыдущей статье мы упомянули, и не в первый раз, о значении паролей для грамотного и безопасного пользования интернетом.

Взгляните в таблицу, там наглядно показано, как легко или, наоборот, сложно расправиться хакеру с тем или иным паролем в зависимости от его структуры и длины. Есть разные способы взлома паролей, самый распространенный – «метод грубой силы» (brute force), предусматривающий полный перебор возможных вариантов, хотя существуют и другие криптографические способы, даже более быстрые. В распоряжении хакеров находятся мощнейшие компьютеры, позволяющие перебирать миллиарды комбинаций в секунду. Мы думаем, что никто не переберет цифры и буквы придуманного нами пассворда, но оказывается, что в случае коротких паролей их расшифровка происходит практически мгновенно, но вот более длинных... скажем, заметно дольше. Пароль, содержащий 10 различных символов, расшифровываются за две недели непрерывной работы компьютера, а если число символов в пароле равно 18 – за 26 трлн (триллионов) лет!

Оцените цифры в конце таблицы, они впечатляют. По современным представлениям, возраст Земли составляет около 4,5 миллиарда лет, а возраст Вселенной – около 27 миллиардов. А какой-то не совсем полноценный пароль длиной в 17 знаков расшифровывается в течение 48 миллиардов лет.

Казалось бы, проблема решена, создаем длиннющий запутанный пароль, и никто к нам не вломится, хакерам просто жизни не хватит. Увы, реальность иная, большинство паролей никто не взламывает, их просто крадут в виде гигантских баз данных, а затем выставляют на продажу.

Десяток самых распространенных в Германии паролей, начиная с «1234» и кончая «234567890», взламываются мгновенно.

Если вы смотрите детективы, то, наверное, заметили, как герой-расследователь или шпион, добравшись до вражеского компьютера, вводит пароль из фрагментов информации о владельце компьютера (год рождения, имя свое или близких, важная дата...) и дело сделано. И не только в дешевых детективах – более половины паролей в реальной жизни базируются на личных данных и информации о семье или о хобби.

Будучи предупреждены, что пароль должен быть: а) сложным и б) индивидуальным для каждого аккаунта (учетной записи), мы иногда, следуя этим требованиям, буквально тонем в океане паролей. Куда бы вы ни явились в интернете, везде предлагают вам зарегистрироваться, создать аккаунт, значит, нужен новый оригинальный пароль, давать один на все случаи – удобно, но опасно. По статистике, средний немецкий интернет-пользователь имеет 78 онлайн-аккаунтов, то есть он должен иметь и столько же паролей.

Где же взять замысловатый пароль нужного размера? Можно из головы: просто набирать первые попавшиеся знаки на клавиатуре. Но грамотнее и удобнее с помощью генератора паролей (Passwort-Generator), любой такой генератор легко находится в Google, он бесплатен и предельно прост.

И никто, как правило, не выписывает эту массу паролей на бумажке и не впечатывает их вручную. Можно сделать текстовый файл в Word или таблицу в Excel с паролями, запаролить этот файл в свою очередь и использовать при посещении сайтов, на которых вы зарегистрированы, копировать эти пароли обычным образом (Strg-C / Strg-V). Но это неудобно. Значительно современнее и надежнее воспользоваться специальной программой – менеджером паролей (Passwort-Manager). Таких программ много, в том числе и для Android, есть платные и их облегченные версии, бесплатные. В любом случае они сохраняют все ваши пароли и предоставляют к ним доступ при введении отдельного единого пароля (Masterpasswort), его и только его следует помнить.

Некоторые из этих программ автоматически заполняют паролями соответствующие поля при регистрации и имеют еще немало полезных функций. Плата за них либо абонементная (от нескольких евро), либо годовая. Данные могут переноситься на другие приборы, выдаваться в виде таблиц и т.п.

Вот перечень некоторых таких пассворд-менеджеров: Keeper Privat, Bitwarden Premium, 1Password, Enpass Individual, Dashlane, Sticky Password, NordPass...  

Из бесплатных лучшим считается пассворд-менеджер KeePass.

Когда-то очень давно я стал пользоваться бесплатным Passwort.Tresor, да и привык, хотя он очень древний, но вполне работоспособен. Его и сейчас можно скачать в интернете. Очевидно одно: любой пассворд-менеджер, даже древний, лучше, чем никакой. Но если вы оперируете важной информацией, то лучше для надежности установить новый, более надежный и комфортный.

Практически все пассворд-менеджеры имеют встроенные генераторы паролей, которые они тут же и сохраняют. Но, согласно опросам, только 31% пользуются этими программами.

Кстати, распространенные веб-браузеры Edge, Mozilla, Chrome тоже имеют встроенные менеджеры паролей, что весьма удобно при посещении сайтов, требующих идентификации. Пароли вносятся автоматически, пользователь этого даже не замечает. Одно только но... браузеры являются сравнительно легкой добычей хакеров.

Другое дело двойная идентификация, Zwei-Faktor-Authentisierung (2FA), метод усиленной защиты от хакеров. Даже завладев вашим паролем, злоумышленник не сможет проникнуть дальше, его остановит второй фактор, это как двойная дверь в квартиру, если кто помнит. После введения пароля вы в этом случае не входите, куда хотите, а получаете предложение дополнительно ввести цифровой, обычно, шестизначный, код. Код этот генерируется на сервере, к которому вы ищете доступ, и передается вам по СМС или другим путем. И лишь после введения этого кода вторая ступень защиты снимается, и вы получаете доступ к запаралеленному ресурсу.

На многих веб-порталах, например, Google, Amazon, есть возможность с недавних пор регистрироваться не путем введения пароля, а с помощью отпечатка пальцев, сканирования лица или с помощью PIN-номера вашего смартфона. Все методы идентификации конкурируют между собой, все в той или иной степени неудобны, и со всеми хакеры ухитряются расправляться своими методами.

Вот, например, наметился отказ от паролей (пассвордов). Мы о них многократно писали, пароль – это ваш щит против атаки киберпреступников, но, увы, просто пароль сплошь и рядом не спасает, нужна более серьезная защита. Казалось бы, куда как надежнее двойная идентификация. Она применяется банками, платежными сервисами, eBay, но... лучшее – враг хорошего.

Недавно возникла (и уже осуществляется) идея вообще отказаться от паролей, ничего не надо будет придумывать, хранить, запоминать (уточним, все-таки почти ничего). Идея эта называется Passkey, и если она привьется, то мы вступим в новую эру защиты компьютерной информации. Passkeyпроще и надежнее, чем пассворд. Сам принцип Passkey – использовать общий секрет для идентификации, известен безотносительно к интернету тысячи лет, буквально, со времен Древнего Египта. Очень приближенно это можно сравнить с такой шпионской системой идентификации: разрывают денежную купюру и отдельно сохраняют части. Для подтверждения, что вы – тот самый, половинки складывают, они должны идеально совпасть. Главное – не потерять.

Новый метод базируется на стандарте безопасной идентификации FIDO2 (Fast IDentity Online 2), введенном в 2018 году, но пока еще не обязательном.

В этом методе идентификации применяется так называемая Public-Key-Kryptographie, в рамках которой генерируются два ключа-пароля, частный (privat) и публичный (public). Вы выбираете FIDO2-Authentifikator (идентификатор), прибор, на котором вы работаете (смартфон, десктоп, ноутбук, планшет), и службу, с которой вы работаете и которая поддерживает FIDO2. Число таких веб-служб расширяется, к ним относятся, например, Apple, Google и Microsoft. В процессе безопасного подключения вам достаточно выйти на адрес интернет-службы и назвать себя (имя пользователя или адрес электронной почты). Далее происходит сравнение личного и приватного идентификаторов (складывание частей купюры из нашего примера), и вы, в случае успеха, подключаетесь к службе. Разумеется, всё это происходит мгновенно, и никаких ваших усилий не требует.

Для пользования Passkey предлагается опционально еще и специальное устройство, напоминающее USB-Stick (флэшку), именуемое FIDO2-Sicherheitsschlüssel, или FIDO2-Token. Такие устройства предлагаются в интернете (Amazon, eBay), они стоят несколько десятков евро. Кстати, идея размещать пассворд на отдельном съемном устройстве уже давно применяется, но на профессиональном уровне, где высочайшие меры безопасности.

Предусматривается еще возможность размещения вашего ключа Passkey также и в облаке (Cloud). Это имеет свое преимушество, такой ключ не потеряется, кроме того, это облегчает синхронизацию разных ваших приборов.

Некоторые методики, приемы, образцы техники настолько прочно укоренились в нашей повседневной компьютерно-телефонной практике, что жизнь без них представляется просто невозможной. Но время берет свое.

В электронном мире бушует нешуточная война, потери, пока денежные, исчисляются многими миллиардами. Нас с вами, рядовых «приватных» пользователей, эта война тоже захватывает, хотим мы того или нет. Так что надо уметь обороняться, пассворд – это главная линия защиты. Чем он длиннее и сложнее, тем надежнее, тут размер имеет значение.

С. Мучник (Дортмунд)

Читайте также:

1. Компьютерная безопасность: Стой, кто идет?! Пароль! Журнал «Партнёр», № 10 / 2017. С. Мучник
2. Караул, грабят! Хакерские атаки и интернет-преступность. Журнал «Партнёр», № 2 / 2019. С. Мучник
3. Кибер-наезд. О хакерских атаках в интернете. Журнал «Партнёр», № 5 / 2024. С. Мучник